Иранская шпионская группа Subtle Snail проводит масштабные кибератаки на европейские телекоммуникационные, аэрокосмические и оборонные компании, заявила компания Prodaft, занимающаяся киберразведкой. Источник: Industrialcyber
Группировка действует как минимум с июня 2022 года и использует сложные методы социальной инженерии и вредоносное программное обеспечение для проникновения в критически важные сети.
В ходе последней кампании Subtle Snail заразила 34 устройства в 11 организациях, выдавая себя за сотрудников отделов кадров и привлекая сотрудников через поддельные вакансии на LinkedIn. После получения доступа злоумышленники внедряли вариант бэкдора MINIBIKE, взаимодействующего с инфраструктурой командования и управления через прокси-серверы Azure, что позволяло обходить системы обнаружения. Программа собирала конфиденциальные данные, включая электронную почту, настройки VPN и файлы из общих папок, что обеспечивало долгосрочный контроль над сетями жертв.
Subtle Snail тщательно профилирует сотрудников компаний, концентрируясь на разработчиках, IT-администраторах и ключевых специалистах с доступом к критически важным системам. Для получения первоначального доступа используются поддельные аккаунты HR-отделов, персонализированные предложения о работе и мошеннические сайты для подачи заявлений, замаскированные под легитимные ресурсы.
Группа создает облачные серверы управления, использует виртуальные частные серверы и разрабатывает уникальные вредоносные DLL-файлы для каждой жертвы. Это позволяет злоумышленникам сохранять долгосрочный доступ, обходить антивирусные системы и управлять атаками в реальном времени через командную строку Windows. MINIBIKE автоматически загружается при запуске системы, обеспечивая постоянное присутствие в инфраструктуре.
Эксперты отмечают, что операции Subtle Snail достигли беспрецедентного уровня сложности. Кампания демонстрирует высокие возможности спонсируемых государством хакеров по проникновению в критически важные сети и сбору конфиденциальной информации. Европейские телекоммуникационные компании сталкиваются с прямой угрозой и должны усилить защиту от фишинговых кампаний и вредоносной инфраструктуры в облачных сервисах.
Ранее в 2025 году Prodaft выявила критические уязвимости в системе управления SCADA mySCADA myPRO Manager, которые позволяли злоумышленникам удаленно выполнять произвольные команды, создавая дополнительный риск для промышленных предприятий и инфраструктуры.
Напомним, иранские хакеры могут атаковать критическую инфраструктуру США.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet